這篇來記錄一下用過的數位鑑識工具好了.

個人認為一般人聽到Digital Forensic(數位鑑識)就會肅然起敬的一個重要原因，就在於這個業界使用的工具實在變化太快數量太多了. 即使你實力不怎麼樣, 只要你能用數位鑑識工具的名字拼湊出一個句子:

・ㄟ我昨天用了那個Cellebrite做了一隻iphone手機, 下次碰到Android的時候想用XRY試看看XRY好不好用…
・ㄟ最新的Encase 8你用過沒, 我還是覺得Encase 6用的比較習慣…(用Encase 20的默默飄過…)
・ㄟ我在SANS上課聽到有個新工具叫KAPE, 聽說免錢速度又快, 不知道跟FTK Imager比起來怎樣…

等等諸如此類的發言，保證在場的其他人會覺得這人不可小覷.

會有這種現象也不令人意外, 因為這些數位鑑識工具各個要價不斐. 小弟前公司即使是打著有數位鑑識調查服務, 其實主力也只有買個Encase跟FTK在用(還不一定有升級到最新版!!)。

剩下的就用公司內部自己的工具補齊（通常就是把一些免費的鑑識軟體包成一包再套上自己的Logo罷了…）。所以聽到有人有機會可以用過Cellebrite, X-Ways, Magnet AXIOM或各種族繁不及備載的炫炮新玩意兒, 簡直是口水都要流出來了…

換到現在這個公司後，變成⌈小孩子才做選擇， 公司全部給你!!! ⌋。趕緊趁上班空閒時把這些工具都稍微玩了一下。
大致分類一下目前有碰過的工具, 第一種是取證類(Tools for acquisition):
・Encase Imager – 說是業界標準, 但其實不用它做程序沒問題證據也會被採信. 最討厭的就是它的E01特殊規格, 很難用其他軟體打開
・FTK Imager – 最常用的工具之一, 輕便好攜帶, 取證的檔案可以存成多種格式, 好處理
・X-Ways – 老美主管推薦才偶爾用一下, 速度真的快但也是用自己的CTR特殊格式有時頗難處理
・Cellebrite – 碰到iOS跟iPhone才會用, 使用頻率不高
・AXIOM – 據說是iPhone跟Android通吃, 但我沒甚麼機會實測
・XRY – 一陣子沒用了, 但之前用來跑Android手機時問題不少, 使用時確保跟XRY客服能保持聯繫比較安全(真心建議)
・KAPE – SANS FOR500課程上推薦的工具, 免費快速好用. 但主要用於Triage, 無法用於整顆硬碟的取證

分析類:
・Encase 6/7/8/20 – 目前公司的主力。不過都只有用它的Remote Collection功能而已。
・FTK – 有用來跑過Mac的OLM檔案，其他時候其實還是會用Encase。 原因無它就是比較順手而已…
・X-Ways – Filter速度超快，第一時間拿來掃整顆硬碟很適合。但UI實在是慘不忍睹。 該說是德國人設計的軟體不意外嗎?
・AXIOM – 主要拿來跑PST跟分析瀏覽器。AXIOM IEF(Internet Evidence Finder)的處理能力實在強，如果沒錢的話可以考慮使用hindsight。
・KAPE – 現在風頭正盛的免費Triage工具。但也可使用Module模組把其他分析用的工具統合到一起，基本上就是為了Analysis Automation開發出來的工具。

其實回頭看看自己做過的案子，很難出現一個工具就把所有想要調查的範圍涵蓋完。比較老牌的工具（Encase/FTK等…），在一些迭代更新飛快的軟體（像Edge, Firefox, Chrome等，最近還有個Brave Browser…）分析上，更是遠遠落後於後起之秀們。

現在的數位鑑識趨勢已經從以往的整顆硬碟Forensic Copy ⇨Triage。原因無他就是硬碟現在動輒1~2TB，少說也有512GB，一個案子假設3~5個嫌疑人的話，光是複製證據就要花你不少人力物力。也因此，現在工作上用得最多的反而是Microsoft DATP + Splunk + KAPE。以往那種一言不合就全部Forensic Copy（然後坐在那邊呆等一天）的狀況基本上已經不會發生了．．．